Ci sono molte domande relative al "client / server: dove a hash?", ma non ho trovato nulla sulla mia particolare domanda: considerando un server_salted_hash (client_salted_hash (password)), usando HTTPS, quali sono i rischi riguardo collisioni di hash o ci sono altri rischi ancora più gravi di loro? (ovviamente, considerando
Come ricordo a scuola, e le letture sulle buone pratiche in materia di sicurezza, un motivo principale per non comporre la funzione hash è "paradossalmente" indebolirlo aumentando potenzialmente il numero di collisioni o facilitando l'inversione.
Quindi, vorrei sapere se ci sono dei difetti di sicurezza introdotti da un tale sistema? (che non sarebbe se ho hash solo sul back-end)
Supponendo che io usi il sale su entrambi gli hash, ci sono alcune combinazioni di hash che consiglieresti o sconsigli?